Уроки кройки и шитья от разработчиков DLP

Уроки кройки и шитья от разработчиков DLP

Рано или поздно многие компании приходят к выводу, что нуждаются в надежной охране своей информации и разработок. Одним из способов эффективной защиты данных является внедрение в корпоративную сеть организации DLP-системы. Обычно при принятии такого решения компания руководствуется двумя основными аргументами: DLP-системы обеспечивают надежную и качественную защиту конфиденциальных данных и позволяют соответствовать требованиям регулирующих органов.

Но DLP-система, как и дорогой костюм должна идеально сидеть. Поэтому, без предварительных примерок на корпоративную сеть и на соответствие нуждам компании никак не обойтись. Такой примеркой является внедрение пилотного проекта. Только после того, как заказчик наденет костюм с иголочки, и увидит, насколько изящно смотрится ансамбль, он сможет в полной мере оценить элегантность и качество обновки. И пускай все разработчики DLP заявляют об обеспечении сохранности информации и соответствии требованиям регуляторов, только качественная DLP-система способна «сесть идеально». Ведь вместе с функционалом для защиты информации заказчик получает дополнительные преимущества, которые не являются очевидными с первого взгляда.

На основе анкет, заполненных компаниями, которые используют систему SecureTower, аналитический отдел компании Falcongaze решил описать, какие дополнительные возможности раскрываются перед организациями при работе с функционалом DLP. Кроме этого, на основе опыта специалистов компании в исследовании было решено очертить круг сложностей, с которыми чаще всего сталкиваются предприятия на этапе внедрения систем для защиты информации.

Если говорить о дополнительных возможностях, раскрывающихся перед пользователем DLP, практически все опрошенные аналитическим отделом отметили, что дополнительные инструменты системы для защиты информации оказались не менее полезными, чем основной функционал продукта.

«Сотрудники начали больше работать»

Как оказалось, большинство специалистов из опрошенных компаний отметили, что с установкой DLP-системы и после должного оповещения персонала, сотрудники стали более плодотворно работать и меньше отвлекаться на посторонние дела. По словам многих пользователей, DLP-система в некотором роде выступает как незримый стимул, ненавязчиво подстегивающий сотрудников уделять больше времени непосредственно рабочему процессу и меньше отвлекаться на посторонние дела.

«HR-менеджеры получили классный инструмент»

Также достаточно большое количество компаний отметили, что функционал DLP-системы оказался удобным инструментом, позволяющим повысить эффективность работы менеджеров по персоналу. HR-менеджеры многих предприятий отмечали, что благодаря системе SecureTower стало возможным улучшить общий социальный климат в компании, а также выявить людей и группы нелояльных сотрудников, которые неблагоприятно влияли на атмосферу доверия в организации и часто срывали рабочий процесс.

«Удобно, когда вся деловая переписка под рукой»

По мнению многих опрошенных, DLP-система оказывается крайне полезной в случаях, когда надо быстро просмотреть деловую переписку с тем или иным человеком, или найти необходимый отосланный ранее документ. За счет того, что наиболее качественные системы, предназначенные для защиты информации, перехватывают весь трафик и способны хранить его сколь угодно долго, стало возможным не тратить много времени на поиск нужных файлов. Помимо этого сотрудники отделов безопасности отметили, что система в несколько раз уменьшает время, необходимое для расследования того или иного инцидента, связанного с потенциальной утечкой данных.

«Спам-бот detected»

Иногда даже сами разработчики не догадываются о полезности разработанного продукта, а точнее о той сфере, в которой он может быть использован. Некоторые компании заострили внимание на том факте, что система SecureTower позволила им выявить компьютеры, с которых производилась вредоносная спам-рассылка. Вот такая макро-история о небезызвестном напитке, содержащем кофеин и пузырьки углекислого газа, на новый лад: хотели изобрести лекарство, а получился всенародно любимый напиток.

Однако многочисленные преимущества DLP-систем могут сопровождаться определенными затруднениями, которые способны стать серьезным камнем преткновения, если о них не позаботиться заранее. Далее сотрудники аналитического центра приводят список наиболее распространенных сложностей, с которыми сталкивались компании на этапе подготовки к внедрению системы для защиты информации.

«DLP-это замечательно, но стоит дорого»

В умах руководителей многих компаний укоренился стереотип, что DLP-система - это близкий родственник антивируса. Такая позиция порой сильно мешает увидеть главное: ведь, по сути, DLP-система представляет собой комплексный инструмент, служащий для обеспечения экономической безопасности компании. Поэтому мнение о том, что DLP-решение должно стоить как простой антивирус – абсолютно ошибочно. Хоть зачастую от организаций и приходится слышать, что DLP – это слишком дорого, но как показывает практика, решение решению рознь и цены на DLP могут быть весьма демократичными, да и утечка информации обойдется в разы дороже.

«Хочется установить DLP, но возможности не позволяют»

Еще один момент, на котором заострили внимание некоторые компании, - это препятствия, которые возникают по причине неподготовленности компании к внедрению DLP-системы. А именно, порой в организации просто не оказывается отдела или сотрудника, ответственного за обеспечение информационной безопасности. В принципе, ничего фатального в этом нет, и нужного человека практически всегда удается найти, тем не менее, подобная ситуация может на какое-то время отодвинуть начало процесса по внедрению продукта для защиты информации.

«Следить за сотрудниками – это нехорошо»

Еще одним контраргументом может послужить этическая сторона вопроса. Некоторые компании отказываются от DLP-систем, мотивируя это тем, что они доверяют своим сотрудникам и не хотят следить за ними. С одной стороны такая позиция может показаться благородной и похвальной, однако, как уже неоднократно говорилось, большое количество утечек происходит по неосторожности, да и наличие DLP-системы вовсе не обязывает читать личную переписку секретарши Леночки с программистом Лешей. Да и к тому же система для защиты информации изначально создана не для слежки за сотрудниками, а для контроля информации и выявления инцидентов, связанных с утечками, поэтому сравнивать DLP с бессовестным шпионом это сродни тому, как думать, что хорошие костюмы носят только мафиози.

«Не такие уж и эффективные эти DLP-системы»

Бытует мнение, что любая DLP-система является неэффективной и не способна защитить информацию компании от утечек. Чаще всего такое можно услышать в случае недостаточного понимания того, как функционируют системы для обеспечения информационной безопасности. Но, тем не менее, человека, который мыслит в подобном ключе переубедить на словах достаточно сложно, если не невозможно, поэтому лучше просто один раз показать, как система работает на практике. Ведь ничего более эффективного, чем наглядная демонстрация в этом мире еще не придумали. Однако и говорить о том, что DLP-система является 100% панацеей от всех проблем компании тоже не верно. Любой продукт DLP - это в первую очередь инструмент, который при внедрении должного комплекса организационных мер внутри компании, а также настройке и правильном использовании может значительно повысить уровень информационной и экономической безопасности предприятия.

«Придется перестраивать всю сеть, чтобы уберечь информацию»

Как и в случае с ценами на DLP, многие компании уверены в том, что для внедрения системы придется переоборудовать всю корпоративную сеть. На самом деле, по-настоящему качественное решение в любой среде никогда не будет требовать замены всего оборудования и сможет максимально просто интегрироваться в любую сеть. Поэтому, беспокойства о том, что для защиты информации придется устроить глобальное переустройство сети компании, являются безосновательными.

Если разработчик заботится о своем клиенте и действительно его уважает, и ценит, то, как и хороший портной, он не заставит его выкидывать весь старый гардероб в угоду одной единственной обновке.

Взвешивать все «за» и «против» можно до бесконечности, также как и разводить теоретические баталии по любому возникающему вопросу. Поэтому вместо многочасовых размышлений, лучше смело подойти к порогу швейного ателье, толкнуть дверь и попросить портного сшить костюмчик «по фигуре».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru